¿Cómo soluciono el error de instantánea manual en mi clúster de OpenSearch Service?

Resolución

Si no completa el proceso de migración correcto para su versión de OpenSearch Service, recibirás un error. Para solucionar el problema, complete la resolución del error que reciba.

403 Error no autorizado

Si ha activado el control de acceso detallado (FGAC) en su dominio de OpenSearch Service, es posible que reciba el siguiente mensaje de error que es similar al error que recibiría al tomar una instantánea:

"type: security_exception,
reason: no permissions for [cluster:admin/repository/put] and User [name=arn:aws:iam::012345678912:user/username, backend_roles=[], requestedTenant=null]
status: 403"

El error anterior se produce cuando no proporciona las credenciales correctas.

Para resolver este problema, ejecute el siguiente comando curl para especificar un parámetro username:password al tomar una instantánea manual:

curl -XPUT -u 'username:password' 'opensearch-domain-endpoint/_snapshot/snapshot-repository-name/snapshot-name'

Nota: Para activar FGAC en su dominio de OpenSearch Service, debe ser un superusuario. Como superusuario, puede utilizar su nombre de superusuario y contraseña o establecer un rol de AWS Identity Access Management (IAM). Al acceder a la instantánea del clúster, especifique sus credenciales de superusuario o su rol de IAM. Si especifica un rol de IAM, el rol de IAM debe usar la versión 4 de AWS Signature para firmar las solicitudes HTTP. Para más información sobre los roles de IAM y FGAC, consulte Creación y administración de dominios de OpenSearch Service.

También debe asignar el rol manage_snapshots a un rol de IAM y registrar un repositorio de instantáneas. El rol manage_snapshots debe tener permisos de tipo IAM:PassRole para asumir el rol de IAM. Para más información, consulte Requisitos previos.

illegal_state_exception

Si utiliza un bucket de Amazon Simple Storage Service (Amazon S3) para tomar instantáneas manuales de varios dominios, recibirá un mensaje de error similar al siguiente:

"type: illegal_state_exception
reason: Can't get text on a FIELD_NAME at 1:1838
status: 500"

Para resolver el problema anterior, cree un nuevo bucket de Amazon S3 y tome una instantánea manual, o borre todos los datos del bucket existente.

Repository_missing_exception

Antes de tomar una instantánea de índice manual, tiene que registrar un repositorio de instantáneas manuales en OpenSearch Service. También debe cumplir con los requisitos previos de las instantáneas manuales.

Si no ha registrado el repositorio de instantáneas, el nombre del repositorio es incorrecto o no ha cumplido los requisitos previos, recibirá el siguiente mensaje de error:

"type: repository_missing_exception
reason: [snapshot-repository-name] missing
status: 404"

Concurrent_snapshot_execution_exception

Si intenta tomar una instantánea cuando haya otra en curso, recibirá el siguiente mensaje de error:

tipo: concurrent_snapshot_execution_exception
motivo: [snapshot-repository-name:snapshot-name] a snapshot is already running" ([snapshot-repository-name:snapshot-name] ya se está ejecutando una instantánea”)

Para comprobar si hay otra instantánea en curso, ejecute el siguiente comando curl:

curl -XGET 'opensearch-domain-endpoint/_snapshot/_status'

Si hay una instantánea en curso, espere a que se complete la instantánea actual. Si su instantánea está bloqueada, consulte su historial de instantáneas cada hora. Para más información, consulte ¿Por qué no puedo eliminar un índice o actualizar mi clúster de OpenSearch Service?

Snapshot_restore_exception

Si migra datos de un clúster local a un dominio de OpenSearch Service, es posible que reciba el siguiente mensaje de error:

tipo: snapshot_restore_exception
motivo: [manual-snapshot-repo:my-manual-snapshot1/HPOcIJryTj6a6GJvyP79bw] the snapshot was created with Elasticsearch version [6.8.0] which is higher than the version of this node [6.7.0] ([manual-snapshot-repo:my-manual-snapshot1/HPOcIJryTj6a6GJvyP79bw] la instantánea se creó con la versión de Elasticsearch [6.8.0] que es superior a la versión de este nodo [6.7.0]) estado: 500”

Cuando toma una instantánea de un clúster existente que se ejecuta en una versión de Amazon Elasticsearch diferente a la de OpenSearch Service, se produce el error anterior. Para resolver este problema, actualice la versión de Elasticsearch. O bien, use la operación de API de reindexación remota para migrar sus índices.

Si ha activado el FGAC del dominio e intenta restaurar los índices de la instantánea, es posible que reciba el siguiente mensaje de error:

"type: security_exception
reason: no permissions for [] and User [name=username, backend_roles=[], requestedTenant=]
status: 403"

Para resolver el error anterior, ejecute el siguiente comando curl para excluir los índices de seguridad:

curl -XPOST -u 'username:password' "https://opensearch-domain-endpoint/_snapshot/snapshot-repository/snapshot-id/_restore" -H 'Content-Type: application/json' -d'
{  
"indices": "-.opensearch*,-.opendistro*,-.kibana*"
}'

Nota: En el comando anterior, sustituya los valores de ejemplo por sus valores.

a_w_s_security_token_service_exception

Si el rol de IAM asociado a la instantánea manual no tiene una relación de confianza establecida para es.amazonaws.com, aparecerá el siguiente mensaje de error:

"type: repository_exception
reason: [es_01082021_repo] Could not determine repository generation from root blobs
type: i_o_exception
reason: Exception when listing blobs by prefix [index-]
type: a_w_s_security_token_service_exception
reason: a_w_s_security_token_service_exception: User: arn:aws:sts::332315457451:assumed-role/cp-sts-grant-role/swift-us-west-2-prod-679203657591 is not authorized to perform: sts:AssumeRole on resource: arn:aws:iam::679203657591:role/ES_Backup_Role (Service: AWSSecurityTokenService; Status Code: 403; Error Code: AccessDenied; Request ID: 36d09b93-d94f-457e-8fa5-b0a50ba436c3)
status: 500"

Para resolver este problema, asegúrese de especificar el rol de IAM asociado a la instantánea manual al registrar el repositorio de instantáneas. Si no tiene un rol de IAM, cree uno.

Compruebe también que la relación de confianza del rol de IAM especifique OpenSearch Service en la declaración Principal.

Ejemplo de relación de confianza:

{
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "",
        "Effect": "Allow",
        "Principal": {
            "Service": "es.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
    }]
}

Estado de instantánea PARCIAL

Una instantánea pasa al estado PARCIAL por los siguientes motivos:

• Fragmentos principales no disponibles en su clúster
• Estado del clúster rojo
• Nodo bloqueado

Si la instantánea está en estado PARCIAL, quiere decir que OpenSearch Service no almacenó los datos de un fragmento. Aún puede restaurar los datos de una instantánea parcial, pero debe utilizar instantáneas anteriores para restaurar los índices que faltan. Para comprobar si el clúster entró en un estado PARCIAL, consulte su historial de instantáneas.

Problema de clase de almacenamiento de Amazon S3 Glacier

Si almacena una instantánea restaurada en una de las clases de almacenamiento de Amazon S3 Glacier, no aplique ninguna regla del ciclo de vida de Amazon S3 Glacier al bucket. Las instantáneas manuales no admiten las clases de almacenamiento de S3 Glacier. Si aplica una política de ciclo de vida de S3 Glacier al bucket, vuelva a mover los objetos que hacen la transición al bucket a una clase de almacenamiento estándar.

Después de mover los objetos a su lugar original, puede restaurarlos a partir de las instantáneas. Para más información, consulte Requisitos previos.

Información relacionada

¿Cómo soluciono el error en Amazon OpenSearch Service?"cannot restore index [.kibana]"

Toma de instantáneas manuales